Kişisel Verileri Koruma Kurumu 13.10.2023 tarihinde günümüzde sağlık alanında teşhis ve tedavi, üst alt soy tespiti, genetik yatkınlık testleri vb. amaçlarla yapılan analizlerde kullanılan genetik verilere ilişkin olarak Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber ("Rehber") yayınlamıştır. Rehber'de 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") kapsamında genetik verilerin işlenmesi ve buna yönelik ilkeler, genetik verilerin yurt dışına aktarılması, genetik verileri işleyen veri sorumlularının yükümlülükleri gibi hususlara ve bu konudaki tavsiyelere yer verilmektedir.

Aşağıdaki notlar veri sorumlularının Kanun'a uygun şekilde yükümlülüklerini yerine getirmeleri için yönlendirici nitelikteki Rehber'in özetini oluşturmaktadır.

GENETİK VERİNİN TANIMI VE KAPSAMI

Kanun'un "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesi kapsamında genetik veriler özel nitelikli kişisel veriler arasında sayılmakta olup, Kanun'da genetik verinin ayrıca tanımı yapılmamaktadır. Rehber'de genetik veri Avrupa Birliği Genel Veri Koruma Tüzüğü'ndeki ("GDPR") tanımdan1 hareketle "canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmıdır" olarak ifade edilmiştir.

GENETİK VERİLERİN İŞLENMESİ

Kanun'un 6. maddesi uyarınca sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, veri işleme faaliyeti kanunlarda öngörülmüş olmadıkça ilgili kişilerin açık rızaları olmaksızın işlenemezler. Ancak genetik verilerin sadece sağlık gerekçeleri ile işlenmesi amacının bulunması durumunda yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi durumunda kişisel sağlık verisi işleme şartlarına tâbi olarak, sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ya da kuruluşlar tarafından işlenmeleri mümkündür.

Rehber kapsamında genetik verilerin işlenmesi bakımından veri sorumlusu ve veri işleyen olarak nitelendirilebilecek kamu ve özel hukuk tüzel kişilerine örnekler verilmiştir. Bu çerçevede genetik verilerin tutulduğu bulut sistemlerinin veri işleyen ve ayrıca genetik veri analizi yapmasa dahi ilgili kişilerin genetik bilgilerine sahip olabilecek eğitim ve rehabilitasyon merkezleri, belediyeler, sağlık hizmetleri sunan kurum ve kuruluşlar, kamu kurum ve kuruluşları, sigorta şirketleri vb. gerçek ve tüzel kişilerin de somut olay bazında Kanun'da yer alan veri sorumlusu ya da veri işleyen tanımları kapsamında değerlendirilmesi gerektiğine dikkat çekilmiştir.

GENETİK VERİLERİN İŞLENMESİNDE TEMEL İLKELER

Rehber'de tüm veri işleme faaliyetlerinde olduğu gibi genetik verilerin işlenmesi kapsamında da hangi veri işleme şartlarına dayanılırsa dayanılsın, Kanun'un 4. ve 6. maddelerinde düzenlenen genel ilkelere ve şartlara uyulmasının zorunlu olduğu hatırlattırılarak, genetik verilerin işlenmesi özelinde dikkat gerektiren esaslara değinilmiştir. Temel hak ve özgürlüklerin özüne dokunulmaması gerekmektedir ki bu bağlamda elverişlilik, gereklilik, orantılılık kriterlerine dikkat edilmelidir.

İşlenen genetik verilerin gereken süre kadar tutulması ve verilerin ne kadar süre boyunca muhafaza edileceği, nedenleri ile birlikte kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklanmalı ve kullanılan genetik verilerin tutulmaya devam edilmesinin gerekip gerekmediğinin periyodik olarak ve dikkatli bir şekilde gözden geçirilmesi, tutulmasının gerekmediği kanaatine varılan genetik verilerin ise gecikmeksizin imha edilmesi gerekmektedir. Rehber'de genetik verilerin kanun kapsamında işlenmesi bakımından dikkat edilmesi gereken hususlar ayrı bir başlık olarak açıklanmıştır. Buna göre genetik veri işlenirken açık rızanın açık ve anlaşılır bir biçimde işlemeden önce alınması gerektiği, açık rızanın herhangi bir hizmet veya ürünün koşulu olamayacağı belirtilmiştir.

Açık rıza gerektirmeyen sağlık gereklilikleri sebebiyle işleme halinde de yine de aydınlatma yapılması gerektiği ifade edilmiştir. Belirtmek gerekir ki aydınlatma yükümlüğü yerine getirilirken genetik veri işleyecek veri sorumlularının, hangi genetik verilerin hangi hukuki sebeple ve hangi amaçla toplandığı, bu verilerin önemi, ihlâl durumunda ortaya çıkabilecek sonuçların neler olabileceği (genetik verilerin işlenmesine yönelik riskler) hususlarına ilişkin olarak ilgili kişiler ayrıca aydınlatmalıdır. Bu husus özellikle genetik veri işleme açısından daha büyük bir öneme sahiptir zira ilgili kişinin genetik verilerinin işlenmesi faaliyeti ve sonucunda, yalnızca ilgili kişinin değil diğer aile fertlerinin de verisine erişim sağlanmaktadır.

GENETİK VERİYE İLİŞKİN ALINABİLECEK TEDBİRLER

Rehber'de genetik verilerin güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbirin alınması gerektiği Kurul'un 2018/10 sayılı kararı uyarınca açıklanmıştır.

Teknik Tedbirler

İdari Tedbirler

· Genetik verilerin bulut sistemlerinde tutulmasının tercih edilmemesi, şayet bulutta tutulacaksa detaylı kaydının ve yedeklemesinin yapılması

· Mahremiyet Temelli Tasarım (Privacy by Design)2 esasına uygun olarak hareket edilmesi

· Veri işlerken güncel teknolojiye uygun olarak kriptografik şifrelemeler yapılması ve anahtarlara erişimin sadece personelle sınırlandırılması

· Veri Koruma Etki Değerlendirmesi'nin uygulanması3

· Genetik verilerin işlendiği sistemler için periyodik olarak donanım ve yazılım güvenlik testlerinin yapılması.

· Genetik verilere, genetik verilerle ilgili eğitimli görevli personelin dışında başkaca kişilerce erişimin önlenmesi

· Lisanslı, güncel ve açık kaynak yazılımların kullanılması

· Genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulması

· Kullanıcı işlemlerinin izlenebileceği ve gerektiğinde veri sorumlusu tarafından sınırlanabileceği yazılımların tercih edilmesi

· Elektronik ortamdaki genetik veriler, güvenli yedekleme sistemiyle düzenli olarak yedeklenmesi ve veri seti yedekleri mutlaka ağ dışında tutulması

· 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamındaki tedbirlere riayet edilmesi

· Şirket içi rastgele ve periyodik denetimler ile risk analizleri yapılması

· Veri sorumlusu ve veri işleyenler arasında yapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yer verilmesi ve veri sorumlusu tarafında veri işleyen nezdinde gerekli teknik ve idari tedbirlerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimler yapılması

Rehber'in son kısmında genetik veri işlenmesinin kişilerin korunması, ulusal güvenlik ve ekonomik menfaatler bakımından kritik öneme sahip olduğu ve bu konuda (i) ulusal laboratuvarların desteklenmesi ve ulusal genetik veri bankalarının geliştirilerek genetik verilerin yurt dışına transferinin en aza indirilmesi, (ii) genetik verilerin ülke içinde depolanmasını sağlayacak ulusal akredite bilişim altyapısı çalışmalarının desteklenmesi, (iii) Sağlık Bakanlığı'nın takip sisteminde genetik verilerin çeşitli işlenme amaçlarına göre bir sınıflandırma sürecinin oluşturulması dahil olmak üzere birtakım ulusal tedbirlerin alınmasının zaruri olduğu belirtilmiştir.

1. GDPR'da genetik veri "bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir" olarak tanımlanmıştır.

2. GDPR'ın 25. maddesinde düzenlenen Mahremiyet Temelli Tasarım ilkesi her türlü etkinin henüz tasarım aşamasında tahmin edildiği ve gerekli idari ve teknik tedbirlerin, sürecin en başından itibaren bu riskler dikkate alınarak uygulandığı bir veri koruma ilkesidir.

3. GDPR'ın 35. maddesinde yer alan Veri Koruma Etki Değerlendirmesi kısaca, işlenen verinin niteliği ya da veri işlemede kullanılan yeni bir teknoloji gibi etkenler sebebiyle yüksek riskli olabileceği değerlendirilen bir veri işleme faaliyeti esnasında, verileri işlenen bireylerin bu veri işleme faaliyeti nedeniyle maruz kalabileceği veri ihlâllerini tespit etmeye ve bu sayede tahmin edilmiş riskleri en aza indirmeye yarayan bir araçtır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.